Jak odzyskać pliki po zaszyfrowaniu? Skorzystaj z Ransomware Removal Kit

22 maja, 2015

Jada Cyrus zajmująca się na co dzień bezpieczeństwem w sieci we współracy z Lawrence’m Abrams’em i Cody Johnston’em z BleepingComputer zebrała w jednej kompilacji kilka narzędzi do walki z Ransomware, a raczej z tym co po nich pozostaje. Zaszyfrowanych plików w większości przypadków nie da się już odzyskać, oczywiście poza kilkoma wyjątkami, o których piszemy poniżej.

Jada Cyrus sama przyznaje, że nie jest autorką tych narzędzi, ale z uwagi na rosnące zagrożenie ze strony crypto-ransomware postanowiła zebrać w jednym miejscu aplikacje, które pomogą w usunięciu tego szkodliwego oprogramowania, a w niektórych przypadkach nawet w odzyskaniu danych. 

Niezbędne kroki po zaszyfrowaniu plików

Jeżeli padliście ofiarą operacji zaszyfrowania plików musicie być świadomi tego, iż prawdopodobnie należycie do grona ignorantów, którzy kompletnie nie przejmują się tym, z jakimi zagrożeniami spotykają się na co dzień w sieci Internet.

Nie mniej jednak zdajemy sobie sprawę z tego, że nie każdego interesuje tematyka bezpieczeństwa komputerowego, jednak zważywszy na postępującą komercjalizację IT prędzej czy później każdy z nas może zostać ofiarą przestępstwa komputerowego. I pamiętajcie, prokuratora nie będzie obchodziło, czy Wasz komputer został wykorzystany do nielegalnej dystrybucji pornografii lub spamu, a nawet pośredniczył w nielegalnych operacjach bankowych – winę za to poniesiecie sami. Dlatego zanim w przeglądarce zamkniesz to okno i przystąpisz jak zwykle do codziennych komputerowych czynności zastanów się, czy:

1. Korzystasz z porządnego oprogramowania antywirusowego?
2. Weryfikujesz nadawców wiadomości e-mail?
3. Nie otwierasz załączników niewiadomego pochodzenia (czyt. od przypadkowych nadawców)?

Jeżeli te trzy podstawowe punkty nie są Ci znane to:

1. Czy w efekcie padłe(a)ś ofiarą malvertising’u i ataku drive-by download?
2. Czy padłe(a)ś ofiarą scamu np. „na Pocztę Polską”, „na DHL”, „na Allegro”?
3. Czy padłe(a)ś ofiarą spamu z w/w szkodliwym załącznikiem?
4. Czy w ostateczności został(a)ś ofiarą własnej głupoty i niewiedzy?

Jeżeli choć jeden punkt się sprawdził, a Twoje pliki zostały zaszyfrowane:

1. Odłącz od sieci komputer oraz wszystkie podłączone do niego dyski i pamięci przenośne. Musisz wiedzieć, że większość odmian crypto-ransomware szyfruje nie tylko pliki na lokalnym dysku, ale także te udostępnione w sieci lokalnej i na pamięciach podłączonych do portów USB.

2. Jeśli szkodliwy plik został uruchomiony jeszcze nie wszystko stracone. Ransomware przez pierwsze kilkadziesiąt sekund lub nawet kilka minut przeszukuje dysk i tworzy listę zaszyfrowanych plików. Jeżeli więc zauważysz, że coś dzieje się z komputerem natychmiast zresetuj system włącznikiem na obudowie i odłącz internetowy kabel od routera / antenę z portu USB / wyłącz Wi-Fi na laptopie odpowiednią kombinacja klawiszy (w zależności od zastosowanego skrótu przez danego producenta).

Zazwyczaj jednak jest już po fakcie. Kiedy Twoim oczom ukaże się podmieniona tapeta i okienko z instrukcją jak zrealizować płatność BTC lub PayPal żaden restart już nie nie wskóra. Pomimo wszystko zdecydowałe(a)ś się na restart i podejrzewasz, że jeszcze nie wszystkie pliki są utracone uważaj na porady, które można znaleźć na różnych forach. A oto jedna z nich:

„Włącz komputer, pobierz program X, program Y, wklej logi na stronę Z i załącz wszystko w poście na forum”.

Cały szkopuł w tym, że Ransomware przed zaszyfrowaniem plików komunikuje się z serwerem C&C w celu pobrania klucza szyfrującego. Może też pobierać dodatkowe składniki lub inne złośliwe oprogramowanie. Korzystanie w takim przypadku z sieci jest głupotą. Przed tą operacją przeskanuj wszystkie dyski antywirusem z płyty ratunkowej.

3. Najskuteczniejszą metodą na odzyskanie plików jest… przywrócenie ich z kopii zapasowej. Najpierw przeskanuj komputer z płyty ratunkowej lub użyj przenośnego oprogramowania / zainstaluj antywirusa i wykonaj „pełne skanowanie”, a następnie przywróć pliki. Ransomware musi zostać całkowicie unicestwiony, aby ponownie nie doszło do operacji zaszyfrowania plików.

4. Możesz skorzystać z Ransomware Removal Kit oraz narzędzi, które znajdziesz w archiwum:

  • BitCryptor – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez BitCryptor.
  • CoinVault – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez CryptoLocker. Dostępne są narzędzia CryptoLockerDecrypt od FireEye lub Kaspersky CoinVault Decryptor (zob. Krok po kroku jak odzyskać zaszyfrowane pliki przez Ransomware CoinVault).
  • FBIRansomWare – narzędzie do usuwania infekcji po FBIRansomWare.
  • OperationGlobal – narzędzie do usuwania infekcji po OperationGlobal.
  • PCLock – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez PCLock.
  • TeslaCrypt – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez TeslaCrypt i Alpfa Crypt.
  • TorrentLocker – narzędzie do usuwania szkodnika i odzyskiwania plików po zaszyfrowaniu przez TorrentLocker.
  • TrendMicro_Ransomware_RemovalTool – uniwersalny skaner Trend Micro Anti-Threat Toolkit w wersji 32 i 64-bitowej.

Użycie wyżej wymienionych narzędzi nie gwarantuje odzyskania plików. Klucz deszyfrujący w większości przypadków znajduje się na kontrolowanych przez przestępców serwerach C&C, które są niemal nie do odzyskania. Nie mniej jednak Kaspersky Lab wraz z holenderską policją National High Tech Crime Unit (NHTCU) uruchamiając serwis www.noransom.kaspersky.com pokazał, że operacje „zdjęcia” serwerów C2 są jak najbardziej możliwe.

Od jakiegoś czasu powiedzenie: „ludzie dzielą się na tych, którzy robią kopie zapasowe i na tych, którzy zaczną je robić” staje się coraz bardziej popularne. I nie ma się czemu dziwić, w końcu tylko kopia danych pozwoli w pełni je odzyskać po ich zaszyfrowaniu. 

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]